Nahrada za fprobe - bylo: fprobe na vetsinu protokolu, vcetne stp, apod

[Radek Krejča]

> No ano - fprobe je IP-orientovane a v manualu te upozornuji, ze pouzit
> ho na neco jineho neni uplne nejlepsi napad. Ale nezakazuji to, takze
> to
> asi jde, byt' to nebude zrejme pracovat optimalne.
> 

Ahoj,
ano, je to tak. Mezitím jsem se dobral k dalsim zjistenim problemum, ktere fprobe ma a otazku jiz polozim jinak (treba fprobe proste neohnu na to, aby sbiralo i ipv6 traffic, umi jen netflow 5, atp.). Potrebuji to na sbirani netflow dat z FBSD natu, kde jsou minimalne 2 sitovky, z toho jedna na vstup a druha na vystup a na ni vlany na vystupu smerem k uzivatelum.

Cili otazka zni - jakou jinou sondu pouzit? Pozadavky jsou, aby umela posilat data do nfsenu, umela netflow 9. Objevil jsem zatim ng_netflow a softflowd. Otazkou je, zda jsou jeste pro FBSD dalsi a dale nejake zkusenosti z praktickeho nasazeni.

V tuto chvili mam takove, ze ng_netflow je vyhodne v tom, ze neni treba cokoliv instalovat, ale staci pouze (bavime se o BSD od 9.1 vyse) naloadovat moduly do jadra. Nevyhodou je, ze konfigurace je proste nad me sily, nenasel jsem bohuzel zadny pro me pochopitelny navod, takze jsem NECO nastavil podle manualu metodou pokus / omyl, hlavne diky spatnemu formatovani pri copy/paste, coz chodi, ale moc netusim, jak jsem to dokazal.... A dalsi zjisteni je, ze oproti fprobe mam pouze traffic smerem ven, ale nemam prichozi traffic a za boha jsem nedokazal prinutit, aby jej take monitoroval.

Oproti tomu softflowd je na konfiguraci privetivejsi v tom, ze ma dobry manual a vse je vlastne pripraveno. Subjektivne vzato se mi zda, ze sbiralo mene dat, ale neumim si vysvetlit, proc by to tak melo byt a hlavne jsem porovnaval neporovnatelne, takze... Ale opet mam zde problem, ze oproti fprobe vidim pouze smer ven.

Diky za pripadne dalsi tipy nebo nakopnuti smerem k nastaveni.
Radek